Una rapina avvenuta nel 2019 in Virginia, apparentemente ordinaria dal punto di vista investigativo, ha aperto uno dei fronti più delicati nel rapporto tra tecnologia e diritto costituzionale negli USA. Il caso ruota attorno ai cosiddetti geofence warrants, strumenti che consentono alla polizia di ottenere dati di localizzazione relativi a tutti i dispositivi presenti in una determinata area e in un preciso intervallo temporale. Questi mandati rovesciano l’approccio classico dell’indagine, partendo da una massa di dati per individuare potenziali sospetti.
Fino a pochi anni fa, le indagini su reati come rapine o aggressioni si basavano su testimonianze, video di sorveglianza e riscontri materiali. L’arrivo degli smartphone, combinato con servizi come Google Maps, ha introdotto una nuova variabile: la raccolta continua di coordinate GPS, spesso con frequenza di pochi minuti. In alcuni sistemi, come la Cronologia delle posizioni Google, i dati sono registrati anche ogni 2 minuti, creando una traccia estremamente dettagliata degli spostamenti di milioni di utenti.
Dal crimine locale alla questione costituzionale
L’indagine che ha portato il caso davanti alla Corte Suprema a stelle e strisce nasce da una rapina armata a una banca vicino Richmond. Dopo aver esaurito le tecniche investigative tradizionali, un detective ha mostrato a Google un mandato di tipo geofence chiedendo un perimetro virtuale attorno alla banca e una finestra temporale di circa un’ora.
Il risultato iniziale fornito dalla società di Mountain View non conteneva nomi, ma identificativi anonimi di dispositivi. Solo in una fase successiva, attraverso un processo di selezione progressiva, gli investigatori hanno ottenuto informazioni più precise, fino a risalire a un sospettato.
Il meccanismo funziona così: il provider interroga il proprio database e restituisce una lista di dispositivi presenti nell’area; gli investigatori restringono il campo analizzando i movimenti; infine chiedono l’identità dell’utente associata a uno o più dispositivi. È un processo a più livelli, ma il nodo resta: la ricerca iniziale coinvolge persone che non sono sospettate di nulla.
La tecnologia dietro le richieste geofence
Per anni, Google ha gestito un’infrastruttura centralizzata in cui i dati di posizione erano archiviati nel cloud. Tale modello ha reso possibile rispondere rapidamente alle richieste delle forze dell’ordine con un sistema articolato su tre passaggi principali: anonimizzazione iniziale, filtraggio basato sui movimenti e deanonimizzazione selettiva.
Google ha nel frattempo dichiarato di aver modificato l’architettura del proprio sistema, spostando la memorizzazione dei dati direttamente sui dispositivi degli utenti. In teoria, questo riduce la possibilità di fornire risposte aggregate a richieste geofence, perché non esiste più un archivio centralizzato interrogabile con un singolo comando.
Altre piattaforme come servizi di ride sharing o social network continuano a raccogliere dati di posizione, spesso con modalità simili. Le forze dell’ordine hanno già iniziato a indirizzare richieste verso aziende come Apple, Uber e Snapchat, adattando le tecniche investigative.
Il quadro europeo: GDPR, ePrivacy e limiti strutturali
Se si guarda all’Europa, la situazione cambia in modo significativo. Il trattamento dei dati personali, inclusi quelli di localizzazione, è regolato dal GDPR, che considera questo materiale come informazioni altamente sensibili e soggette a tutela rafforzata. Il principio centrale è semplice: ogni trattamento deve avere una base giuridica chiara, essere proporzionato e limitato allo scopo dichiarato.
Accanto al GDPR, esiste una normativa specifica per le attività di polizia e giustizia penale: la direttiva UE 2016/680, nota come Law Enforcement Directive. Qui il legislatore europeo introduce vincoli ancora più stringenti: i dati devono essere raccolti per finalità determinate, non eccedenti e trattati con garanzie adeguate, anche quando riguardano soggetti non direttamente indagati.
In pratica, un meccanismo simile ai geofence warrants incontrerebbe diversi ostacoli in Europa. Il principio di minimizzazione dei dati renderebbe difficile giustificare una raccolta iniziale così ampia, che coinvolge centinaia o migliaia di persone non sospette. Inoltre, la direttiva ePrivacy limita l’accesso ai dati di localizzazione, consentendolo solo in forma anonima o con consenso esplicito, salvo specifiche eccezioni previste dalla legge.
Va detto però che il quadro europeo non esclude del tutto l’uso della geolocalizzazione nelle indagini. In Italia, ad esempio, i dati GPS e i tabulati di traffico sono utilizzati come prove, ma attraverso procedure più mirate e con autorizzazione dell’autorità giudiziaria. L’accesso interessa però soggetti già individuati o fortemente sospettati, non tramite una ricerca massiva a posteriori.
Italia: uso investigativo e ruolo del Garante
Nel sistema italiano, la geolocalizzazione rientra nel più ampio ambito delle intercettazioni e delle acquisizioni di dati tecnici. La giurisprudenza ha più volte sottolineato che si tratta di informazioni capaci di rivelare abitudini, relazioni e spostamenti quotidiani, quindi meritevoli di una protezione elevata.
Il Garante per la protezione dei dati personali ha adottato una linea prudente: ammette l’uso della geolocalizzazione in ambiti specifici, come sicurezza sul lavoro o emergenze, ma insiste su condizioni precise: informativa, proporzionalità e limitazione temporale.
Un sistema di tipo geofence applicato in Italia dovrebbe superare diversi controlli: autorizzazione giudiziaria, verifica della necessità e rispetto del principio di proporzionalità. Il rischio di una raccolta indiscriminata renderebbe difficile sostenere la legittimità di un’operazione simile senza una base normativa esplicita.
Un equilibrio difficile tra investigazione e privacy
Durante le discussioni in Corte Suprema USA, i giudici hanno mostrato una divisione meno ideologica del solito. Alcuni hanno espresso preoccupazione per il rischio di sorveglianza di massa, citando scenari come l’identificazione di persone presenti in luoghi sensibili: chiese, riunioni politiche, manifestazioni. Altri hanno sottolineato l’efficacia investigativa di questi strumenti, soprattutto in casi complessi dove le prove tradizionali non bastano.
Una domanda emerge con forza: fino a che punto è accettabile analizzare dati di centinaia o migliaia di individui per identificare un singolo sospetto? Non è solo una questione giuridica, ma anche tecnica. Gli algoritmi di filtraggio possono ridurre il numero di dispositivi rilevanti, ma non eliminano il problema di fondo: la raccolta iniziale resta ampia e indiscriminata.
Il punto cruciale è capire se l’evoluzione tecnologica imponga una revisione dei criteri con cui si definisce una perquisizione: in Europa la risposta sembra già orientata verso limiti stringenti; negli USA, la partita sembra ancora aperta. E il risultato potrebbe ridefinire il rapporto tra indagini e dati personali per molti anni.
Powered by WPeMatico